Централизованное управление в сети Linux

ALDPro
https://www.aldpro.ru/

Какие фишки? AD = ldap + kerberos + DNS + DHCP.

это всё прекрасно заводится и на Linux.

NIS, но это не совсем то.

это как раз пример того. AD это просто хранилище настроек - они спускаются на клиент и проги которые умеют настраиваться через AD соотв. подцепляют настройки.

пожалуйста примеры того же самого - тот же сервак Kerberos который может хранить свои настройки в LDAP, и брать их оттуда.

чтобы завести на это дело большинство прог, которые ничего про LDAP не знают, нужен посредник - это уже оркестрация. Т.е. AD это всё вышеперечисленное + встроенная оркестрация (сервак AD + встроенный клиент на венде), которая на не венде реализуется всяким ПО для оркестрации.

Или в качестве другого примера - automounter. Может хранить свои карты опять же в LDAP - на клиенте он натравливается на сервак LDAP и он подсасывает карты для каждого хоста-клиента. Это пример проги которая сама умеет в это.

Чем больше углубляюсь в тему, тем больше понимаю, что готовых решений нету

если никакой Ansible тебя не тронул, то всегда есть вариант нанять админа.

Calculate создавался именно с такой целью, ЕМНИП. https://wiki.calculate-linux.org/ru/cds

единственное что интересует - как работают групповые политики. Фичи аля active directory это полдела, а вот возможностей gp как раз в линуксовой сетевой структуре не хватает. Этой реализации вообще небыло и нет

групповые политики - это красивое название настроек.

и domain бывает у нормальных людей только DNS, какой-то другой бывает только у некрософта.

Кто пользовался Astra linux поясните что разработчики имели ввиду под «Централизованное управление конфигурациями», то есть там есть всё-таки что то похожее на «Групповые политики»?

тебе про оркестрацию только в этом топике сколько раз написали? puppet там.

Не совсем понимаю что это, но по ходу дела думаю сейчас с ней познакомлюсь, начал искать по теме saltstack. Короче говоря, спасибо что накидали мне материала для изучения, сейчас потихоньку «по курю» данную тему. До этого просто не задавался вопросом управления парком ПК на Linux, обычно это несколько серверов и в них ковыряешься, а тут интересно стало что вообще и как с администрированием десктопов на Linux, так что прошу сильно «не гнать волну».

samba, kerberos, winbind, также нашёл стати про NIS

sssd

Можно ли управлять Linux машинами клиентов, через централизованный сервер

ansible

не только красивое название, а суперудобная фича настроек всего ився

sssd

при чем тут sssd? к списку выше в смысле. заменитель обращения через pam-ldap напрямую, ну и хорошо. Я через него делал, так наверное и стОит. Но ТСу бы в других вещах разобраться.

ansible

puppet, chef, salt, ansible, cfengine. или самодельный костыль)

Не совсем понимаю что это

групповая политика - сиречь просто конфиги. В винду встроен «агент» который их подсасывает и всякие проги, начиная от интерфейса умеют ими пользоваться.

под линукс «нативной» поддержкой забирания своей конфигурации из LDAP может похвастать мало что, точно не панель или файл-манагер. Вот для этого софт для конфигурации и нужен - он предоставляет агент, который подтягивает конфиги которые ты определишь на сервере, кладёт куда надо и локальный софт радостно ими пользуется.

что тут непонятного? (я схематично обрисовал)

при чем тут sssd? к списку выше в смысле. заменитель обращения через pam-ldap напрямую, ну и хорошо.

Ну ты и сравнил. SSSD до хрена всего умеет. Kerberos, SSO, регулярная смена пароля машинной учетки (computer account), автоматическая регистрация своего хостнейма в виндовом DNS (как это делают виндовые сервера)…

Даже групповые политики SSSD умеет (всякие Allow logon locally/Access this computer from network…)

А что умеет pam_ldap? Только парольную аутентификацию. Даже со сменой доменного пароля в pam_ldap были проблемы. Раньше он не умел это делать так, как этого требовал виндовый LDAP. Думаю что и сейчас ситуация не сильно изменялась, все эти pam_ldap/pam_krb5 не слишком активно разрабатываются.

да я спорю что ли

а ещё будет кэшировать данные на случай офлайна и ещё поди много чего.

SSO это не заслуга sssd. Здесь он аналогичен другим вариантам, т.е. работает прослойкой и работает.

так, как этого требовал виндовый LDAP

ну и в качель венду..

Даже групповые политики

почему обычные настройки, если они прилетают с базы данных и ими умеет пользоваться вендовый login/вендовая панелька/вендовый эксплохер, вдруг начинают гордо именоваться Групповыми Политиками? может кто объяснить.

там salt

почему обычные настройки, если они прилетают с базы данных и ими умеет пользоваться вендовый login/вендовая панелька/вендовый эксплохер, вдруг начинают гордо именоваться Групповыми Политиками? может кто объяснить.

Потому что там не просто настройки, а иерархия выполнения. Например две разные политики с разными настройками одного параметра - кто в итоге применится на клиенте? Или настройка области выполнения - типа на вот эту группу компьютеров, но если только выполняется какое-то условие. И т.д. и т.п.

в нашей puppet.
ну, админы его завели, но поскольку они не то что бы ребята которые будут отходить от «дефолта», то вот я и решил, что РБТ «рекомендует» его.

Но не это ли и реализуют всякие плей-буки? Для разных компов/юзеров/положения меркурия

Давно не трогал эту тему, но в прошлом году наткнулся на то что делают Базальт, я про ALT Linux, там AD и GP не только для своей системы, но и для Windows, очень интересная тема, на словах именно то что я и искал.

Конечно для Windows нет нечего лучше Windows server(DC) и не какая samba не сравнится с функционалом последних редакций server, но всё же вариант для перехода есть.

Вот я и ответил на свой вопрос))

не какая samba не сравнится

А какая?

puppet и прочие ansible